Malware Tool-Prockill ou faux positif ?
Résolu/Fermé
A voir également:
- Malware Tool-Prockill ou faux positif ?
- Hp format tool - Télécharger - Stockage
- Media creation tool - Télécharger - Systèmes d'exploitation
- Malware byte - Télécharger - Antivirus & Antimalwares
- Daemon tool - Télécharger - Émulation & Virtualisation
- Win32:malware-gen ✓ - Forum Virus
28 réponses
Utilisateur anonyme
19 août 2010 à 19:33
19 août 2010 à 19:33
Salut,
c:\System Volume Information\_restore{5DC9F00C-DD59-426F-81CA-05114EA1E330}\RP296\A0082182.exe
C'est ds ton système de restauration,donc inactif !
Pour supprimer:
---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
a+
c:\System Volume Information\_restore{5DC9F00C-DD59-426F-81CA-05114EA1E330}\RP296\A0082182.exe
C'est ds ton système de restauration,donc inactif !
Pour supprimer:
---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
a+
Bonjour archet9,
J'ai fait les 2 manipulations indiquées mais sans redémarrer l'ordinateur (oubli de ma part).
J'ai vérifier avec CCleaner, il n'y a maintenant qu'un seul point de restauration.
Faut-il recommencer la manipulation ?
J'ai fait les 2 manipulations indiquées mais sans redémarrer l'ordinateur (oubli de ma part).
J'ai vérifier avec CCleaner, il n'y a maintenant qu'un seul point de restauration.
Faut-il recommencer la manipulation ?
Utilisateur anonyme
19 août 2010 à 19:55
19 août 2010 à 19:55
Apres avoir désactivé ta restauration, tu la réactives et normalement windows doit te demander de redémarrer afin de valider la mofif...
a+
a+
Je n'ai pas eu de message me demandant de redémarrer ...
Je vais faire redémarrer l'ordi quand même.
Je vais faire redémarrer l'ordi quand même.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
Modifié par archet9 le 19/08/2010 à 20:08
Modifié par archet9 le 19/08/2010 à 20:08
Ok ...
On va tout de même vérifier ton pc avec un outil de diagnostic !
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
On va tout de même vérifier ton pc avec un outil de diagnostic !
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
Bon, je crois que le pc est à nouveau infecté , il y a eu des modifications au niveau du firewall et de l'antivirus
voilà le rapport
http://www.cijoint.fr/cjlink.php?file=cj201008/cijhJmMLu0.txt
voilà le rapport
http://www.cijoint.fr/cjlink.php?file=cj201008/cijhJmMLu0.txt
Utilisateur anonyme
19 août 2010 à 20:23
19 août 2010 à 20:23
"il y a eu des modifications au niveau du firewall et de l'antivirus "
Oui effectivement...
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
---> Installe la console de récupération si l'outil te le propose.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Oui effectivement...
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
---> Installe la console de récupération si l'outil te le propose.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Utilisateur anonyme
19 août 2010 à 21:13
19 août 2010 à 21:13
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[x] Lance ZHPFix qui est présent sur ton bureau.
[x] Clique sur le "H" bleu ( Coller les lignes Helper )
[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[x] Lance ZHPFix qui est présent sur ton bureau.
[x] Clique sur le "H" bleu ( Coller les lignes Helper )
[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
Je viens de vérifier l'intégrité du registre avec CCleaner.
Il me signale que la clé d'emplacement de Wordpad.exe est invalide.
voilà le rapport de CCleaner
Emplacement d'application invalide WORDPAD.EXE - "%ProgramFiles%\Windows NT\Accessories\WORDPAD.EXE" HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WORDPAD.EXE
Clé de programme obsolète Wget HKCU\Software\Wget
Référence MUI manquante C:\DOCUME~1\ERIC\LOCALS~1\Temp\is-K0EBB.tmp\ZHPDiag 1.26.tmp HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\iexplore.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\hidec.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\n.pif HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\nircmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\NirCmdC.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF28688.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\ERUNT.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NircmdB.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NirCmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF31428.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Il me signale que la clé d'emplacement de Wordpad.exe est invalide.
voilà le rapport de CCleaner
Emplacement d'application invalide WORDPAD.EXE - "%ProgramFiles%\Windows NT\Accessories\WORDPAD.EXE" HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WORDPAD.EXE
Clé de programme obsolète Wget HKCU\Software\Wget
Référence MUI manquante C:\DOCUME~1\ERIC\LOCALS~1\Temp\is-K0EBB.tmp\ZHPDiag 1.26.tmp HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\iexplore.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\hidec.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\n.pif HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\nircmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\NirCmdC.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF28688.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\ERUNT.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NircmdB.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NirCmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF31428.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
voilà le rapport de ZHPFix (désolée pour les messages qui se sont croisés)
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
Run by ERIC at 19/08/2010 21:36:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre
End of the scan
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
Run by ERIC at 19/08/2010 21:36:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre
End of the scan
Utilisateur anonyme
19 août 2010 à 21:46
19 août 2010 à 21:46
Pas grave pour le chassé/croisé...
Fais un scan avec cet antispyware :
Malwarebytes + tutoriel
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.
Ensuite:
Un nouveau ZHPdiag stp
a+
Fais un scan avec cet antispyware :
Malwarebytes + tutoriel
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.
Ensuite:
Un nouveau ZHPdiag stp
a+
Voilà le rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4449
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19/08/2010 21:58:06
mbam-log-2010-08-19 (21-58-06).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 125821
Temps écoulé: 4 minute(s), 43 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
et celui de ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201008/cijAgsLWVn.txt
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4449
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19/08/2010 21:58:06
mbam-log-2010-08-19 (21-58-06).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 125821
Temps écoulé: 4 minute(s), 43 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
et celui de ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201008/cijAgsLWVn.txt
on dirait...
la seule chose qui me tracasse, c'est la clé invalide de wordpad.exe qui est apparue aujourd'hui avec le scan de CCleaner. alors qu'hier il n'y avait rien...
je m'inquiète peut-être pour rien...d'ailleurs Antivir ne détecte rien quand je fais analyser le fichier et Outpost non plus.
la seule chose qui me tracasse, c'est la clé invalide de wordpad.exe qui est apparue aujourd'hui avec le scan de CCleaner. alors qu'hier il n'y avait rien...
je m'inquiète peut-être pour rien...d'ailleurs Antivir ne détecte rien quand je fais analyser le fichier et Outpost non plus.
Utilisateur anonyme
19 août 2010 à 22:40
19 août 2010 à 22:40
je m'inquiète peut-être pour rien...
Oui je pense ....Une clé invalide comme son nom l'indique est inopérente...
donc ne peut être infectieuse....
Pour desinstaller les outils utilisés
Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/
Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")
Appuie sur le bouton "CleanUp!"
A la question "begin cleanup process?", réponds "YES"
A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":
Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit!
puis
---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 24 h
TRES IMPORTANT:
---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
VISTA:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista
---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php
Oui je pense ....Une clé invalide comme son nom l'indique est inopérente...
donc ne peut être infectieuse....
Pour desinstaller les outils utilisés
Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/
Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")
Appuie sur le bouton "CleanUp!"
A la question "begin cleanup process?", réponds "YES"
A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":
Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit!
puis
---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 24 h
TRES IMPORTANT:
---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
VISTA:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista
---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php
et on remet ça avec un trojan et un Backdoor!
j'ai refait un scan approfondi avec Outpost
Nom: BZub
Type: Trojan
Description:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Clés de Registre:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control
Panel\load
Nom: BiFrost
Type: Backdoor
Description:
Gives someone else access to your computer by bypassing the normal authentication procedures.
Clés de Registre:
HKEY_USERS\S-1-5-21-796845957-1383384898-725345543-1004\software\Wget
j'ai refait un scan approfondi avec Outpost
Nom: BZub
Type: Trojan
Description:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Clés de Registre:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control
Panel\load
Nom: BiFrost
Type: Backdoor
Description:
Gives someone else access to your computer by bypassing the normal authentication procedures.
Clés de Registre:
HKEY_USERS\S-1-5-21-796845957-1383384898-725345543-1004\software\Wget
Utilisateur anonyme
19 août 2010 à 22:58
19 août 2010 à 22:58
* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)
https://www.ionos.fr/?affiliate_id=77097
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :
suppression
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
https://www.ionos.fr/?affiliate_id=77097
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :
suppression
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
la purge de la restauration système a été effectuée (désactiver, réactiver)
un point de restauration a été créé.
J'ai téléchargé USBFix et voici son rapport
############################## | UsbFix 7.020 | [Suppression]
Utilisateur: ERIC (Administrateur) # COSTE [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 23:27:44 | 19/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: AMD Processor model unknown
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: Outpost Firewall Pro 7.0 [Enabled]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (130 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (395 Mo libre(s) - 21%) [UDISK] # FAT
################## | Éléments infectieux |
Supprimé! C:\WINDOWS\system32\USB.ocx
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[17/10/2009 - 13:31:54 | D ] C:\06abb89f0e18b1ab4d9b284c404b71
[11/06/2010 - 17:54:23 | D ] C:\5c54ac1533e3207e2f459f5afc
[16/08/2010 - 00:22:20 | A | 5682] C:\Ad-Report-CLEAN[1].txt
[15/08/2010 - 23:58:39 | A | 5257] C:\Ad-Report-SCAN[1].txt
[16/08/2010 - 02:06:51 | A | 4] C:\AUTOEXEC.BAT
[14/11/2009 - 20:35:05 | A | 56663] C:\beret_MCI_58.pdf
[31/10/2009 - 15:50:31 | A | 228] C:\Boot.bak
[19/08/2010 - 20:32:16 | RASH | 298] C:\boot.ini
[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[19/08/2010 - 20:32:16 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[10/04/2008 - 17:24:17 | A | 0] C:\CONFIG.SYS
[14/11/2009 - 19:09:58 | D ] C:\CtDriverInstTemp
[14/11/2009 - 19:09:55 | D ] C:\CWebCam
[14/11/2009 - 20:34:06 | A | 4841] C:\diamond.jpg
[10/04/2008 - 17:27:43 | D ] C:\Documents and Settings
[22/03/2010 - 08:22:58 | D ] C:\downloads
[18/08/2010 - 18:34:04 | A | 0] C:\except.log
[01/11/2009 - 18:24:26 | A | 3268] C:\index.html
[10/04/2008 - 17:24:17 | RASH | 0] C:\IO.SYS
[22/07/2010 - 19:02:27 | A | 5541] C:\JavaRa.log
[16/08/2010 - 01:40:12 | D ] C:\Kill'em
[10/04/2008 - 17:36:02 | A | 195] C:\LAN.log
[16/08/2010 - 01:18:57 | A | 31922] C:\List'em.txt
[18/08/2010 - 18:36:12 | A | 628] C:\log.log
[10/04/2008 - 17:24:17 | RASH | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[17/10/2009 - 11:13:54 | RASH | 252240] C:\ntldr
[10/04/2008 - 18:13:07 | D ] C:\NVIDIA
[19/08/2010 - 23:07:27 | ASH | 1610612736] C:\pagefile.sys
[02/06/2010 - 21:42:41 | D ] C:\PMAIL
[19/08/2010 - 21:51:09 | RD ] C:\Program Files
[17/10/2009 - 12:55:33 | A | 1352] C:\PureRa.txt
[19/08/2010 - 23:29:07 | SHD ] C:\RECYCLER
[26/10/2009 - 17:50:43 | A | 836] C:\resolve.log
[10/04/2008 - 17:34:36 | A | 499] C:\RHDSetup.log
[18/08/2010 - 18:31:10 | D ] C:\SIERRA
[14/11/2009 - 20:39:43 | A | 519616] C:\stream001.mov
[19/08/2010 - 23:16:57 | SHD ] C:\System Volume Information
[19/08/2010 - 23:29:07 | D ] C:\UsbFix
[19/08/2010 - 23:29:12 | A | 1149] C:\UsbFix.txt
[26/10/2009 - 11:03:44 | D ] C:\VQ
[19/08/2010 - 23:08:18 | D ] C:\WINDOWS
[19/08/2010 - 21:36:30 | A | 6434] C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
[16/08/2010 - 18:36:28 | D ] E:\nettoyeurs
[14/06/2010 - 13:56:18 | D ] E:\Fichiers tricot
[14/06/2010 - 13:58:50 | D ] E:\Exe
[23/06/2010 - 14:00:46 | A | 136] E:\adresse_flash_player_exe.txt
[28/06/2010 - 10:37:20 | A | 352858] E:\ie_tab_plus-1.92.20100607-fx+sm.xpi
[03/07/2010 - 11:32:16 | D ] E:\collection
[12/07/2010 - 09:31:42 | A | 18951] E:\codes_fortissimots_006.pdf
[15/07/2010 - 12:06:44 | A | 16066336] E:\jre-6u21-windows-i586.exe
[21/07/2010 - 16:34:54 | A | 27565744] E:\adobe-reader-acrobat_adobe_reader_acrobat_9.3_francais_13628.exe
[26/06/2009 - 11:12:34 | D ] E:\Divers
[13/08/2009 - 14:04:14 | RD ] E:\photos
[25/09/2009 - 16:14:46 | D ] E:\CM1
[21/10/2009 - 12:06:30 | D ] E:\FEBE
[03/02/2010 - 15:33:00 | A | 1616] E:\BOOTEX.LOG
[14/06/2010 - 13:56:02 | D ] E:\Musique
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_COSTE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
un point de restauration a été créé.
J'ai téléchargé USBFix et voici son rapport
############################## | UsbFix 7.020 | [Suppression]
Utilisateur: ERIC (Administrateur) # COSTE [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 23:27:44 | 19/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: AMD Processor model unknown
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: Outpost Firewall Pro 7.0 [Enabled]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (130 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (395 Mo libre(s) - 21%) [UDISK] # FAT
################## | Éléments infectieux |
Supprimé! C:\WINDOWS\system32\USB.ocx
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[17/10/2009 - 13:31:54 | D ] C:\06abb89f0e18b1ab4d9b284c404b71
[11/06/2010 - 17:54:23 | D ] C:\5c54ac1533e3207e2f459f5afc
[16/08/2010 - 00:22:20 | A | 5682] C:\Ad-Report-CLEAN[1].txt
[15/08/2010 - 23:58:39 | A | 5257] C:\Ad-Report-SCAN[1].txt
[16/08/2010 - 02:06:51 | A | 4] C:\AUTOEXEC.BAT
[14/11/2009 - 20:35:05 | A | 56663] C:\beret_MCI_58.pdf
[31/10/2009 - 15:50:31 | A | 228] C:\Boot.bak
[19/08/2010 - 20:32:16 | RASH | 298] C:\boot.ini
[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[19/08/2010 - 20:32:16 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[10/04/2008 - 17:24:17 | A | 0] C:\CONFIG.SYS
[14/11/2009 - 19:09:58 | D ] C:\CtDriverInstTemp
[14/11/2009 - 19:09:55 | D ] C:\CWebCam
[14/11/2009 - 20:34:06 | A | 4841] C:\diamond.jpg
[10/04/2008 - 17:27:43 | D ] C:\Documents and Settings
[22/03/2010 - 08:22:58 | D ] C:\downloads
[18/08/2010 - 18:34:04 | A | 0] C:\except.log
[01/11/2009 - 18:24:26 | A | 3268] C:\index.html
[10/04/2008 - 17:24:17 | RASH | 0] C:\IO.SYS
[22/07/2010 - 19:02:27 | A | 5541] C:\JavaRa.log
[16/08/2010 - 01:40:12 | D ] C:\Kill'em
[10/04/2008 - 17:36:02 | A | 195] C:\LAN.log
[16/08/2010 - 01:18:57 | A | 31922] C:\List'em.txt
[18/08/2010 - 18:36:12 | A | 628] C:\log.log
[10/04/2008 - 17:24:17 | RASH | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[17/10/2009 - 11:13:54 | RASH | 252240] C:\ntldr
[10/04/2008 - 18:13:07 | D ] C:\NVIDIA
[19/08/2010 - 23:07:27 | ASH | 1610612736] C:\pagefile.sys
[02/06/2010 - 21:42:41 | D ] C:\PMAIL
[19/08/2010 - 21:51:09 | RD ] C:\Program Files
[17/10/2009 - 12:55:33 | A | 1352] C:\PureRa.txt
[19/08/2010 - 23:29:07 | SHD ] C:\RECYCLER
[26/10/2009 - 17:50:43 | A | 836] C:\resolve.log
[10/04/2008 - 17:34:36 | A | 499] C:\RHDSetup.log
[18/08/2010 - 18:31:10 | D ] C:\SIERRA
[14/11/2009 - 20:39:43 | A | 519616] C:\stream001.mov
[19/08/2010 - 23:16:57 | SHD ] C:\System Volume Information
[19/08/2010 - 23:29:07 | D ] C:\UsbFix
[19/08/2010 - 23:29:12 | A | 1149] C:\UsbFix.txt
[26/10/2009 - 11:03:44 | D ] C:\VQ
[19/08/2010 - 23:08:18 | D ] C:\WINDOWS
[19/08/2010 - 21:36:30 | A | 6434] C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
[16/08/2010 - 18:36:28 | D ] E:\nettoyeurs
[14/06/2010 - 13:56:18 | D ] E:\Fichiers tricot
[14/06/2010 - 13:58:50 | D ] E:\Exe
[23/06/2010 - 14:00:46 | A | 136] E:\adresse_flash_player_exe.txt
[28/06/2010 - 10:37:20 | A | 352858] E:\ie_tab_plus-1.92.20100607-fx+sm.xpi
[03/07/2010 - 11:32:16 | D ] E:\collection
[12/07/2010 - 09:31:42 | A | 18951] E:\codes_fortissimots_006.pdf
[15/07/2010 - 12:06:44 | A | 16066336] E:\jre-6u21-windows-i586.exe
[21/07/2010 - 16:34:54 | A | 27565744] E:\adobe-reader-acrobat_adobe_reader_acrobat_9.3_francais_13628.exe
[26/06/2009 - 11:12:34 | D ] E:\Divers
[13/08/2009 - 14:04:14 | RD ] E:\photos
[25/09/2009 - 16:14:46 | D ] E:\CM1
[21/10/2009 - 12:06:30 | D ] E:\FEBE
[03/02/2010 - 15:33:00 | A | 1616] E:\BOOTEX.LOG
[14/06/2010 - 13:56:02 | D ] E:\Musique
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_COSTE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
